Ciberataques Sandworm derrubam rede elétrica ucraniana durante ataques com mísseis

O infame grupo de ameaças persistentes avançadas (APT) Sandworm da Rússia usou técnicas de vida fora da terra (LotL) para precipitar um corte de energia numa cidade ucraniana em Outubro de 2022, coincidindo com uma enxurrada de ataques de mísseis.

Sandworm, ligado ao Centro Principal de Tecnologias Especiais da Rússia, tem um histórico de ataques cibernéticos na Ucrânia: Apagões induzidos pela BlackEnergy em 2015 e 2016, o infame limpador NotPetya, e campanhas mais recentes coincidindo com a guerra na Ucrânia. Até certo ponto, a guerra forneceu uma cortina de fumo para os seus ataques cibernéticos mais recentes e de dimensão comparável.

Tomemos como exemplo um exemplo de outubro de 2022, descrito hoje em um relatório da Mandiant. Durante uma chuva torrencial de 84 mísseis de cruzeiro e 24 ataques de drones em 20 cidades ucranianas, a Sandworm lucrou com dois meses de preparação e forçou um corte inesperado de energia numa cidade afetada.

Ao contrário dos ataques anteriores da grade Sandworm, este não foi notável por algum tipo de armamento cibernético avançado. Em vez disso, o grupo aproveitou os binários LotL para minar as defesas cibernéticas cada vez mais sofisticadas da infra-estrutura crítica da Ucrânia.

Para o analista-chefe da Mandiant, John Hultquist, isso abre um precedente preocupante. “Teremos que nos fazer algumas perguntas difíceis sobre se podemos ou não nos defender contra algo assim”, diz ele.

Mais uma queda de energia do Sandworm

Embora o método exato de intrusão ainda seja desconhecido, os pesquisadores dataram a violação inicial da subestação ucraniana pelo Sandworm pelo menos em junho de 2022.

Logo depois, o grupo conseguiu romper a divisão entre as redes de TI e de tecnologia operacional (TO) e acessar um hipervisor que hospeda uma instância de gerenciamento de controle de supervisão e aquisição de dados (SCADA) (onde os operadores da planta gerenciam suas máquinas e processos).

Depois de até três meses de acesso ao SCADA, o Sandworm escolheu o seu momento. Coincidindo (coincidentemente ou não) com um ataque violento de guerra cinética no mesmo dia, ele usou um arquivo de imagem de disco óptico (ISO) para executar um binário nativo do sistema de controle MicroSCADA. Os comandos precisos são desconhecidos, mas o grupo provavelmente usou um servidor MicroSCADA infectado para enviar comandos às unidades terminais remotas (RTUs) da subestação, instruindo-as a abrir disjuntores e, assim, cortar a energia.

Dois dias após a interrupção, o Sandworm voltou por alguns segundos, implantando uma nova versão de seu malware limpador CaddyWiper. Este ataque não afetou os sistemas industriais – apenas a rede de TI – e pode ter tido a intenção de apagar provas forenses do seu primeiro ataque, ou simplesmente causar mais perturbações.

Rússia x Ucrânia está se tornando mais equilibrado

Os ataques BlackEnergy e NotPetya da Sandworm foram acontecimentos seminais na história da cibersegurança, da Ucrânia e da história militar, afectando tanto a forma como as potências globais encaram a combinação de guerra cinética-cibernética, como a forma como os defensores da cibersegurança protegem os sistemas industriais.

Como resultado desta maior consciência, nos anos seguintes, ataques semelhantes perpetrados pelo mesmo grupo ficaram um pouco aquém do seu padrão inicial. Houve, por exemplo, o segundo ataque do Industroyer, não muito depois da invasão — embora o malware fosse igualmente poderoso, se não mais, do que aquele que derrubou o poder da Ucrânia em 2016, o ataque, em geral, não conseguiu causar quaisquer consequências graves.

“Você pode olhar para a história desse ator tentando aproveitar ferramentas como o Industroyer e, finalmente, fracassando porque foram descobertas”, diz Hultquist, enquanto pondera se este último caso foi um ponto de viragem.

“Acho que este incidente demonstra que há outro caminho e, infelizmente, esse outro caminho vai realmente nos desafiar como defensores, porque isso é algo contra o qual não seremos necessariamente capazes de usar assinaturas e procurar em massa ," ele diz. “Teremos que trabalhar muito para encontrar essas coisas.”

Ele também oferece outra forma de olhar para a história cibernética russo-ucraniana: menos que os ataques da Rússia se tornaram mais domesticados e mais que as defesas da Ucrânia se tornaram mais robustas.

“Se as redes da Ucrânia estivessem sob a mesma pressão que estão agora, com as mesmas defesas que existiam há talvez uma década, esta situação teria sido muito diferente”, conclui Hultquist. “Eles têm mais experiência do que qualquer pessoa na defesa contra a guerra cibernética e temos muito a aprender com eles.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes